사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 램지(Ramsay)라고 불리는 이전에 보고되지 않은 사이버 스파이 활동을 발견했다고 밝혔습니다. 이 프레임 워크는 인터넷이나 다른 온라인 시스템에 연결되지 않은 에어-갭 시스템에서 민감한 문서를 수집하고 추출하기 위해 만들어졌습니다. 현재까지 피해자의 수가 매우 적으므로 ESET은 이 프레임워크가 개발 진행 중인 것으로 판단합니다.

 

ESET 몬트리올의 연구팀 책임자인 Alexis Dorais-Joncas,
일본에서 업로드한 VirusTotal 샘플에서 램지의 예를 처음 발견했는데, 이 샘플은 더 많은 구성 요소와 프레임워크의 다른 버전을 발견하게 했고, 그 프레임워크는 아직 개발 단계에 있으며, 전파 매개체는 정밀 테스트 대상이 되고 있습니다.”

 

ESET 연구 결과에 따르면 Ramsay는 발견된 프레임워크의 서로 다른 인스턴스를 기반으로 여러 반복 작업을 거쳤으며, 이는 그 기능의 수와 복잡성에 대한 선형적 진행을 나타냅니다. 감염 매개를 담당하는 개발자들은 2017 년부터 Microsoft Word 취약성에 대한 이전 공격 방식을 사용하고 잠재적으로 스피어 피싱(spear-phishing)을 통해 트로이목마화 된 애플리케이션을 배포하는 등 다양한 접근 방식을 시도하는 것으로 보입니다. 발견된 Ramsay의 세 가지 버전은 복잡성과 정교함에서 차이가 있으며, 특히 회피와 지속성 측면에서 최신 세 번째 버전이 가장 진보된 버전입니다.

 

Ramsay의 아키텍처는 로깅 메커니즘을 통해 관리되는 일련의 기능을 제공합니다.

 

파일 수집 및 은밀한 저장: 이 프레임워크의 주요 목표는 대상의 파일 시스템 내에서 기존의 모든

Microsoft Word 문서를 수집하는 것입니다.


명령 실행: Ramsay의 제어 프로토콜은 제어 문서에서 명령을 찾고 검색하는 분산된 방법을 구현합니다.
확산 : Ramsay는 에어-갭 네트워크 내에서 작동하도록 설계된 구성 요소를 내장하고 있습니다.

 

Dorais-Joncas,
특히 주목할만한 점은 Ramsay의 아키텍쳐 디자인, 특히 확산과 제어 기능 간의 관계가 어떻게 인터넷 연결이 없는 네트워크인 에어-갭 네트워크에서 작동할 수 있는지에 대한 것입니다.”
라고 덧붙였습니다.

 

발견된  Ramsay  버전의 개요입니다 .

 

 

Ramsay에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 Ramsay: A cyber espionage toolkit tailored for air-gapped networks을 참고하십시오.

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요